Wordpress
Étant donné qu’un peu moins de la moitié des sites dans le monde sont conçus à partir du système de gestion de contenu WordPress, il n’est pas étonnant que les cybercriminels soient constamment à la recherche de failles à exploiter. En mars dernier, des chercheurs en cybersécurité de l’entreprise d’hébergement GoDaddy ont présenté une campagne qui a débuté en 2016 et qui a depuis compromis plus de 20 000 sites WordPress dans le monde.
La campagne a été baptisée « DollyWay World Domination » en référence à une ligne de code (define (‘DOLLY_WAY’, ‘World Domination’)) trouvée dans le programme malveillant de cette campagne. La campagne DollyWay consiste à injecter sur les sites Internet des scripts malveillants dotés de diverses fonctionnalités. L’objectif principal est de rediriger les utilisateurs de sites authentiques vers des pages tierces. En février 2025, les experts avaient recensé plus de 10 000 sites Internet WordPress infectés dans le monde.
Pour compromettre les sites Internet, les acteurs malveillants exploitent les vulnérabilités de plug-ins et de thèmes WordPress. Ils commencent par injecter un script d’apparence inoffensive qui ne suscite aucune alerte auprès des systèmes de sécurité effectuant une analyse statique du code HTML. Le script fonctionne comme un outil d’infiltration furtif : il télécharge discrètement le code le plus dangereux utilisé pour établir le profil des victimes, communiquer avec des serveurs de commandement et contrôler et, enfin, rediriger les visiteurs vers les sites infectés. Vous pouvez consulter le document de recherche original pour obtenir une description détaillée du fonctionnement de ces scripts.
Monétisation de la campagne malveillante
Les liens de redirection générés par DollyWay comportent un identifiant d’affilié, à l’instar des programmes de parrainage que les blogueurs utilisent souvent pour promouvoir des produits ou des services. Ces identifiants permettent aux sites Internet de déterminer la provenance des utilisateurs. Les blogueurs perçoivent généralement une commission sur les achats effectués par les visiteurs qui arrivent par des liens de référence. La campagne DollyWay World Domination est monétisée de la même manière, en utilisant les programmes d’affiliation VexTrio et LosPollos.
VexTrio a été surnommé « l’Uber de la cybercriminalité ». Signalé comme actif depuis au moins 2017, ce service sert principalement de courtier pour les contenus d’escroquerie, les logiciels espions, les programmes malveillants, la pornographie, etc. C’est VexTrio qui redirige le trafic de DollyWay vers des sites d’escroquerie. Comme indiqué plus haut, le programme malveillant établit le profil de ses victimes. Sur la base de ces profils, les utilisateurs sont ensuite redirigés vers différents types de sites Internet, comme de faux sites de rencontre, des escroqueries aux cryptomonnaies ou des pages de jeux d’argent.
LosPollos serait spécialisé dans la vente de trafic vers des services légitimes. Lorsque DollyWay redirige du trafic vers un site promu par LosPollos, les redirections incluent toujours le même identifiant de compte d’affilié LosPollos. Le partenariat entre DollyWay et LosPollos explique pourquoi, dans certains cas, les redirections de sites infectés mènent les utilisateurs non pas vers des pages malveillantes, mais vers des listes d’applications authentiques sur Google Play, comme Tinder ou TikTok.
Comment DollyWay parvient à se dissimuler sur les sites Internet infectés
Les cybercriminels veillent à ce que leurs programmes malveillants ne soient pas détectés ni supprimés. Tout d’abord, le code malveillant est injecté dans chaque plug-in actif. L’éliminer n’est pas une mince affaire, car DollyWay utilise un mécanisme de réinfection avancé qui se déclenche chaque fois qu’une page du site compromis est consultée. Si le code malveillant n’est pas supprimé de tous les plug-ins et extraits actifs, le chargement de n’importe quelle page du site entraînera une réinfection.
La détection de DollyWay peut s’avérer difficile, car le programme malveillant est capable de dissimuler sa présence sur un site infecté. Pour conserver l’accès au site compromis, les pirates créent leur propre compte avec des privilèges d’administrateur, et DollyWay dissimule ce compte dans le tableau de bord de WordPress.
Si leurs comptes sont découverts, les pirates détournent également les identifiants des véritables administrateurs. Pour ce faire, DollyWay surveille tout ce qui est saisi dans le formulaire de connexion à l’administration du site et enregistre les données dans un fichier caché.
Les auteurs des attaques prennent également des mesures pour s’assurer que leurs ressources restent exploitables. Les chercheurs ont trouvé des preuves de l’existence d’un script qui aurait été utilisé par les pirates pour maintenir les sites infectés. Plus précisément, le script peut mettre à jour WordPress, installer et actualiser les composants nécessaires, et lancer l’injection d’un code malveillant.
Les experts ont également découvert un code encoquillé que les pirates utilisent, entre autres, pour mettre à jour les sites compromis et tenir à distance les programmes malveillants rivaux. Cela montre que les pirates veulent éviter que d’autres programmes malveillants ne détournent le trafic ou ne déclenchent des avertissements de sécurité susceptibles d’alerter le propriétaire du site.
Les experts estiment que le script de maintenance et le code encoquillé ne sont pas déployés sur tous les sites infectés par DollyWay. Le maintien d’une telle infrastructure sur l’ensemble des 10 000 sites nécessiterait des ressources considérables. Il y a de fortes chances que les pirates ne déploient ces scripts que sur leurs ressources les plus précieuses.
Protéger votre site d’entreprise
L’ampleur et la longévité de la campagne « DollyWay World Domination » soulignent une fois de plus la nécessité de procéder régulièrement à des audits de sécurité des sites Internet au sein des entreprises. Lorsqu’il s’agit de sites WordPress, les plug-ins et les thèmes méritent une attention particulière, car ils se sont avérés à maintes reprises être les éléments les plus vulnérables de l’infrastructure de la plateforme.
Si vous pensez que le site Internet de votre entreprise a été victime de DollyWay, les chercheurs recommandent de surveiller de près les événements de création et de suppression de fichiers. Une telle activité peut être un indicateur de compromission, étant donné que certaines versions de DollyWay v3 effectuent des opérations sur les fichiers chaque fois qu’une page est chargée.
Voici ce que vous devez faire si vous remarquez des signes de compromission.
- Mettez temporairement hors ligne le site concerné et redirigez tout le trafic vers une page statique. Ou, à tout le moins, désactivez tous les plug-ins pendant que vous supprimez le programme malveillant.
- Supprimez tous les plug-ins suspects, mais gardez en tête que DollyWay peut les cacher dans le tableau de bord WordPress.
- Supprimez tous les comptes administrateurs non reconnus – là encore, sachez que DollyWay peut également les masquer.
- Modifiez les mots de passe de tous les utilisateurs WordPress, en commençant par ceux qui disposent de privilèges d’administrateur.
- Activez l’authentification à deux facteurs pour la connexion à WordPress.
- Si les ressources de l’équipe interne chargée de la sécurité de l’information sont insuffisantes, demandez l’aide de spécialistes externes en réponse aux incidents.
Conseils